「本当に役立つインシデントレスポンスの基本」と題して、第1回で全体の概要を説明し、第2回(すでにSIRTがある企業)と第3回(これからSIRTを構築する企業)に分けて、インシデントレスポンスの本質を考察してきました。
その最終回(第4回)では、これまでの内容を振り返りながら、有効なSIRT構築のポイントを総括します。
役立つSIRTの基本
情報セキュリティ対策は、一般的に予防的な取り組みとなります。たとえば、個人情報が漏洩しないよう、データのアクセス権を適切に設定したり、マルウェア対策ソフトを導入したりすることです。これに対して、インシデントレスポンスは、個人情報の漏洩がもしも起こったら、できるだけ被害が拡大しないよう対処する、事後的な取り組みが基本です。
そして近年、高度化するサイバー攻撃から予防的に守ることが非常に難しくなっています。ある意味インシデントの発生を前提として、事後的な対処を重視する考えが注目されているのです。
しかしながら、インシデントの発生で、役に立つどころか機能不全となるSIRT(セキュリティインシデントレスポンスチーム:Security Incident Response Team)が世の中少なくありません。
初動対応は誰の手に
予防的なセキュリティ活動は、日ごろから対策している感が持てます。でもSIRTは、インシデントが起こらないと実態がないため、形だけの活動(形骸化したSIRT)になりがちです。
また、そうしたSIRTをさらに残念にする要因があります。(SIRTという用語もそうですが)そもそも情報セキュリティには、一般社員にとって意味不明の略語が多く含まれます。その中でも、インシデントレスポンスに関するものは、そうした傾向がより強いと思います。社内でセキュリティに詳しい関係者じゃないと、チンプンカンプンのSIRTになってしまうのです。
よって、一般社員をSIRTのメンバーに巻き込もうとすれば、強い抵抗勢力が現れます。スムーズに社内調整を進めるには、(味方となる)情報システム部などの要員を中心にアサインするしかありません。それで、SIRTは適切に活動できるのでしょうか・・・。
インシデントは、「はい、これは重大なインシデントです!」というように、発生の初期段階からわかりやすいものはありません。ましてや、(SIRTの中心となる)情報システム部の前だけに、都合よく起こるものではなく、営業部や経理部など、どの部署が起点になるのかわかりません。
インシデントの発生をSIRTが識別した時には、すでに被害が大きく手遅れかもしれません。インシデントをいち早く発見するには、各部門の協力が必要です。「なんかおかしいぞ・・・」「セキュリティの問題なのでは・・・」といった、現場の気づきを得ないと意味がないのです。
連絡体制とエスカレーション
「皆さん、ご協力のほどよろしく・・・」のように、ふわふわした体制でSIRTは機能しません。正式なSIRTのメンバーとして、各部門から要員のアサインが必要です。ただしSIRTは、(会社の常設組織ではなく)いざという時に召集される臨時のチームですから、その役割や責任を明確にしておくべきです。通常業務のように、阿吽の呼吸は期待できません。誰が何をどのように確認し、どこにどのタイミングで連絡調整するのか、より具体的な取り決めが求められます。
そして、SIRTのメンバーには、情報セキュリティに詳しい専門家がいるとは限りません。インシデントの根本原因を追究するには、社内の関係者だけでは限界があります。あらかじめ、外部の専門組織(セキュリティベンダー等)との連携体制が欠かせないはずです。
万が一、セキュリティインシデントが発生すると、できるだけ小さい被害で収まるのが望ましいです。しかしながら、大規模なインシデントに拡大することも十分想定されます。そうなると、会社の経営層との調整はもちろんのこと、事業継続計画(BCP)へのエスカレーションが必要です。インシデントの被害が大きくなればなるほど、組織的にテンパってしまう(パニックになる)かもしれません。これについても、インシデントの被害レベルがどうなった時点で、どこにどのような報告を上げていくのか、その基準を明確にしておくべきです。
こうしたことから、SIRTの連絡体制とエスカレーションは、有効なインシデントレスポンスの仕組みを構築する上での、基本中の基本になると考えます。
有効性のある訓練とは
適切な仕組みができたとしても、インシデントの発生で決められた手順どおりに、スムーズに対処できるとは限りません。当たり前のことですが、日常的にインシデントは発生しません(重大なインシデントが多く発生するなら、そもそも予防的なセキュリティ対策に大きな欠陥があります)。いざという時に混乱なく対処するには、インシデントの発生をシミュレーションする演習訓練が必要です。
演習訓練のシナリオ(インシデント発生のストーリー)は、より現実味があるのに越したことはありません。しかしながら、リアルさの追求には限界がありますし、本番でシナリオどおりに事が進むとは限りません。「そんな訓練なら実施する意味がない・・・」といった意見も出るかもしれません。
訓練の重要なポイントは、SIRTに関わるメンバーを中心に、適切な連携が組織的に取れるかどうかです。つまり、インシデントに対処するための組織力や一体感を醸成するのも、訓練の目的なのです。そうした訓練の積み重ねが、要員のモチベーション(前向きな意欲)を向上させ、ルールや手順の順守だけでなく、インシデントの状況に応じた対処(ケースバイケースの応用)につながります。
有効な演習訓練には、セキュリティの技術面(シナリオのリアルさ)というより、むしろメンバー同士の親和性や共感性の向上(グループワークを通じたチームビルディングの要素)が、より重要になると考えます。
さいごに
「本当に役立つインシデントレスポンスの基本」のまとめとして、重要なポイントを振り返ってみました。サイバー攻撃が高度化する中、SIRTへの期待は高まる一方です。有効なSIRTにするには(形だけの残念なSIRTにならないよう)、あらためてインシデントレスポンスの基本に立ち返り、その本質をしっかりと再認識していただければ幸甚です。